兩個旨在協助軟件開發人員格式化和結構化代碼的網站,近期曝光了數千個登錄憑證、身份驗證密鑰及其他高度敏感的信息。網絡安全研究人員發現,這些敏感數據來自許多高風險行業,包括政府、銀行和醫療保健等。
JSONFormatter 和 CodeBeautify 是兩個在線工具,允許軟件開發人員將代碼粘貼進去,並將其轉換為更易讀的格式。然而,當用戶將結果保存以便日後參考時,鏈接中包含的內容卻完全暴露給任何人。問題在於,許多情況下,這些鏈接中嵌入了憑證、身份驗證密鑰及其他高度敏感的信息,可能使黑客能夠獲得對這些系統的訪問權限。
Bleeping Computer 報導,網絡安全公司 watchTowr 發現了超過五年的 JSONFormatter 數據和一年的 CodeBeautify 數據,其中包含各種敏感信息。
| 資料類型 | 示例 |
|---|---|
| Active Directory 憑證 | 包含用戶登錄信息 |
| 數據庫和雲憑證 | 用於訪問雲端服務的密鑰 |
| 私鑰 | 加密通信所需的密鑰 |
| 代碼庫令牌 | 用於存取版本控制系統的令牌 |
| CI/CD 機密 | 持續集成和持續交付過程中的敏感信息 |
| 支付網關密鑰 | 處理交易的密鑰 |
| API 令牌 | 用於訪問應用程式接口的憑證 |
| SSH 會話記錄 | 遠端伺服器的登錄記錄 |
| 個人識別信息 | 包括了解你的客戶(KYC)數據 |
| AWS 憑證集 | 用於國際股票交易所的 Splunk SOAR 系統 |
| 銀行憑證 | 由 MSSP 上線電子郵件曝光的憑證 |
諷刺的是,其中還包括一家易於識別的網絡安全公司的敏感信息。截至目前,這些鏈接仍然可以在這兩個平台上自由訪問。
